Σε πανικό οι εταιρείες για την εφαρμογή του κανονισμού GDPR

317

Σε ισχύ από την Παρασκευή ο Ευρωπαϊκός Κανονισμός για την Προστασία των Δεδομένων (GDPR). Αβέβαιο αν η Ελλάδα θα συμμορφωθεί εγκαίρως. Διοικητικά πρόστιμα έως 20 εκ. για τις εταιρείες που δεν συμμορφώνονται.

Σε αναβρασμό βρίσκονται, οι επιχειρήσεις εντός της  Ευρωπαϊκής Ένωσης καθώς  την Παρασκευή 25 Μαΐου εκπνέει η προθεσμία για τη συμμόρφωση με τον ευρωπαϊκό κανονισμό για την Προστασία των Δεδομένων (General Data Protection Regulation (GDPR).

Δημόσιοι Φορείς και Ιδιωτικές επιχειρήσεις, που επεξεργάζονται προσωπικά δεδομένα, π.χ. ταξιδιωτικά γραφεία, ασφαλιστικές εταιρίες, Τράπεζες, κλινικές, μέχρι καταστήματα με κάρτες μέλους, όπως καταστήματα ένδυσης και διατροφής (σούπερ μάρκετ), θα έρθουν αντιμέτωποι με τη πρόκληση της συμμόρφωσης προς τον Κανονισμό, που αυστηροποιεί το πλαίσιο νομιμότητας της επεξεργασίας προσωπικών δεδομένων.

Στη χώρα μας ήδη μεγάλες εταιρείες ξεκίνησαν την διαδικασία επικοινωνώντας με πελάτες τους και ζητώντας την έγκριση τους για χρήση των προσωπικών τους δεδομένων.

Χωρίς ενσωμάτωση του κανονισμού η Ελλάδα

Και μπορεί οι περισσότερες εταιρείες να επιταχύνουν τις διαδικασίες ενόψει της 25ης Μαΐου, αλλά δεν είναι βέβαιο εάν η Ελλάδα θα συμμορφωθεί έγκαιρα επειδή δεν έχει ενσωματώσει τον κανονισμό GDPR στην εθνική νομοθεσία.

Το ίδιο βέβαια, συμβαίνει σε άλλα επτά κράτη-μέλη (Βέλγιο, Βουλγαρία, Κύπρος, Τσεχία, Ουγγαρία, Λιθουανία και Σλοβενία), την στιγμή που διέθεταν περίπου δύο χρόνια για να θεσπίσουν τα αναγκαία νομοθετήματα.

Αυτό πρακτικά σημαίνει, ότι ωσότου ενσωματωθεί στην εθνική νομοθεσία ο κανονισμός, δεν θα είναι δυνατή η επιβολή ποινών για μη συμμόρφωση με τον ευρωπαϊκό κανονισμό από την Αρχή Προστασία Προσωπικών Δεδομένων.

Γι’ αυτό, όπως ανέφερε, πρόσφατα, η Ευρωπαία Επίτροπος Δικαιοσύνης Vera Jourova δεν αποκλείεται να υπάρξει προσφυγή της Κομισιόν στο Ευρωπαϊκό Δικαστήριο κατά των κρατών -μελών που δεν έχουν ενσωματώσει τον κανονισμό στην εθνική νομοθεσία.

Το πρώτο λουκέτο

Πάντως, μετά τις 25 Μαΐου, οι συνθήκες θα δυσκολέψουν για σειρά εταιρειών που παρέχουν υπηρεσίες τηλεφωνικών πωλήσεων, προώθησης προϊόντων και απαίτησης οφειλών.

Αλλά και για εταιρείες που δραστηριοποιούνται στο Blockchain εκτιμάται ότι οι συνθήκες θα καταστούν δυσκολότερες. Είναι χαρακτηριστικό ότι η εταιρεία Parity ICO Passport Service (PICOPS) έχει ανακοινώσει ότι θα διακόψει την λειτουργία της από τις 24 Μαΐου, αδυνατώντας να συμμορφωθεί στο κανονισμό για τα προσωπικά δεδομένα.

Πώς οφείλουν να συμμορφωθούν οι εταιρείες

Για οποιουδήποτε είδους προσωπικά δεδομένα διαθέτουν, από διευθύνσεις ηλεκτρονικού ταχυδρομείου (e-mails) έως βιομετρικά δεδομένα, θα πρέπει, καταρχάς, να εξασφαλίσουν τη συγκατάθεση των ατόμων που αυτά αφορούν.

Ταυτόχρονα, θα πρέπει να καθιερώσουν μηχανισμούς προστασίας από μη εξουσιοδοτημένη πρόσβαση στα δεδομένα αυτά (π.χ. μέσω κρυπτογράφησης, ενώ θα πρέπει να εξασφαλίζεται, μεταξύ άλλων, το δικαίωμα στη λήθη. Θα πρέπει, δηλαδή, τα άτομα να έχουν τη δυνατότητα να διαγράφουν τα προσωπικά δεδομένα τους.

H συμμόρφωση των επιχειρήσεων με τον κανονισμό GDPR έχει κόστος αρκετών χιλιάδων ευρών. Και για ενδεχόμενη παραβίαση δεδομένων που συνδέεται με την μη συμμόρφωση με τον κανονισμό προβλέπεται πρόστιμο έως 20 εκατ. ευρώ ή το 4% του συνολικού ετήσιου τζίρου.

Όπως αναφέρουν παράγοντες της αγοράς, ο φόρτος εργασίας είναι πολύ μεγάλος, με τις εταιρείες να πρέπει να προχωρήσουν στη χαρτογράφηση των προσωπικών δεδομένων που διατηρούν. Αλλά και στην προστασία των δεδομένων μέσω της χρήσης ειδικών λογισμικών, προγραμμάτων κρυπτογράφησης και της ασφάλειας των κωδικών πρόσβασης.

Τι προβλέπει ο κανονισμός GDPR

Στα δεδομένα που αφορά ο κανονισμός (GDPR) συγκαταλέγονται τα προσωπικά, όπως όνομα, διεύθυνση, e-mail, τηλέφωνο και ενδιαφέροντα και τα ευαίσθητα, όπως το φύλο, η υγεία, οι προτιμήσεις, οι συνδικαλιστικές πεποιθήσεις, το ποινικό ιστορικό και το εισόδημα. Όπως και αυτά που σχετίζονται με την κοινωνική ταυτότητα και είναι γενετικού, οικονομικού και πολιτισμικού χαρακτήρα.

Η συγκεκριμένη ρύθμιση προβλέπει ότι η επεξεργασία των εν λόγω δεδομένων θα πρέπει να διέπεται από συγκεκριμένες αρχές, όπως της  νομιμότητας, της αντικειμενικότητας και διαφάνειας, του περιορισμού της περιόδου αποθήκευσης, της ακεραιότητα και εμπιστευτικότητα και της λογοδοσίας.

Ως εκ τούτου, οι εταιρείες θα πρέπει να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα με θεμιτό και διαφανή τρόπο και να τα συλλέγουν για συγκεκριμένους, καθορισμένους, ρητούς και νόμιμους σκοπούς, χωρίς να τα επεξεργάζονται για άλλους σκοπούς.

Επιπλέον, οφείλουν, βάσει του κανονισμού, να συλλέγουν και να επεξεργάζονται μόνο τα συναφή και αναγκαία δεδομένα προσωπικού χαρακτήρα για κάθε περίπτωση και να είναι σε θέση να διαγράψουν ή να διορθώσουν ανακριβή δεδομένα προσωπικού χαρακτήρα.

Θα πρέπει, ακόμη, να διατηρούν τα δεδομένα μόνο για το απολύτως αναγκαίο διάστημα και να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα, ώστε η επεξεργασία τους να εγγυάται την ασφάλειά τους από μη εξουσιοδοτημένες ή παράνομες επεξεργασίες και τυχόν απώλειες, καταστροφές ή φθορές.

Στο πλαίσιο αυτό, οι επιχειρήσεις θα πρέπει να είναι σε θέση να αποδείξουν ότι το υποκείμενο έδωσε τη συγκατάθεσή του στην επεξεργασία των δεδομένων του.

Ταυτόχρονα, το αίτημα για συγκατάθεση θα πρέπει να υποβάλλεται σε κατανοητή και εύκολα προσβάσιμη μορφή, με σαφή και απλή διατύπωση, ενώ το υποκείμενο θα πρέπει να ενημερώνεται ότι έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή.

Θα πρέπει να διευκρινίσουμε ότι η ανάκληση της συγκατάθεσης θα πρέπει να είναι εξίσου εύκολη με την παροχή της.

Με στόχο την εναρμόνισή τους με τον κανονισμό, οι επιχειρήσεις θα πρέπει, μεταξύ άλλων, να ενημερώνουν για το λόγο για τον οποίο ζητούν τα δεδομένα, για το χρονικό διάστημα που θα τα διακρατήσουν και για το ποιοι θα έχουν πρόσβαση σε αυτά. Όπως και να προχωρούν στη διαμόρφωση ηλεκτρονικών σελίδων, ώστε τα υποκείμενα να έχουν πρόσβαση στα δεδομένα τους.

Τα πρόστιμα

Σύμφωνα με τις διατάξεις του GDPR οι εποπτικές αρχές μπορούν να επιβάλλουν διοικητικά πρόστιμα έως 20.000.000 ευρώ ή, σε περίπτωση επιχειρήσεων, έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του προηγούμενου οικονομικού έτους

Τα διοικητικά πρόστιμα αποτελούν κεντρικό στοιχείο του νέου καθεστώτος επιβολής που έχει θεσπιστεί με τον GDPR, και ένα ισχυρό εργαλείο  στα χέρια των εποπτικών αρχών, μαζί με τα άλλα μέτρα που προβλέπονται στο άρθρο 58, για την εφαρμογή των νέων διατάξεων.